:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security-Tools – Elcomsoft Advanced EFS Data Recovery Eingeschränktes Hacking-Tool
Das russische Softwarehaus Elcomsoft bietet mit Advanced EFS Data Recovery ein Programm an, das unter bestimmten Voraussetzungen ermöglicht, die EFS-Verschlüsselung aus Windows NT/2000/XP und Server 2003 zu knacken. In der neuen Version 3.2 kann das Tool auch mit der EFS-Kodierung in Windows Vista umgehen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Auch wenn man nach der Lektüre der Programmbeschreibung auf der Website von Elcomsoft das Gegenteil glauben könnte: Advanced EFS Data Recovery (AEFSDR) eignet sich nur eingeschränkt als Hacker-Tool, mit dem Unbefugte sich Zugriff auf verschlüsselte Dokumente verschaffen können – es gibt einige Voraussetzungen für die Datei-Dekodierung mit AEFSDR.
Zunächst einmal müssen die Daten auf einer Basic-NTFS-Partition liegen, da dynamische NTFS-Dateisysteme nicht unterstützt werden. Zudem ist es zwingend erforderlich, dass der Schlüssel noch im System vorhanden ist, also typischerweise auf der jeweiligen Systempartition.
Auf einer formatierten logischen Festplatte ist die Rekonstruktion nur möglich, wenn der PC Mitglied in einer Domäne war und der Schlüssel vom Domänencontroller geholt werden kann, wenn ein Wiederherstellungsagent eingerichtet war oder wenn ein Backup des Benutzerprofils inklusive Schlüssel existiert. Damit AEFSDR Dateien dechiffrieren kann, müssen die typischerweise in den folgenden Ordnern gespeicherten Schlüsseldaten vorhanden sein:
C:\Dokumente und Einstellungen\<benutzername>\Anwendungsdaten\Microsoft\Crypto\C:\Dokumente und Einstellungen\
Wiederherstellung OS-spezifisch eingeschränkt
Im Falle Windows XP, Server 2003 oder Vista ist das Kennwort des Nutzers erforderlich, der die Dateien verschlüsselt hat, alternativ hilft auch das Kennwort des Wiederherstellungsagenten weiter. Ein Angreifer, der im Besitz einer ausgebauten Festplatte mit einem dieser drei Betriebssysteme ist, kann darauf verschlüsselte Dateien mit AEFSDR nicht rekonstruieren.
Auf Vista-Systemen kann AEFSDR unter den oben genannten Voraussetzungen zwar per EFS verschlüsselte Dateien dechiffrieren. Falls aber die Systempartition per Bitlocker-Funktion in Verbindung mit einem TPM-Chip geschützt ist, ist das nicht möglich – schließlich unterbindet Bitlocker den Zugriff auf die auf der Festplatte gespeicherten EFS-Schlüssel.
Sollte bei einem Windows-2000-System der SYSKEY auf Diskette gespeichert bzw. die Option „Kennwortstart“ aktiviert sein, gestaltet sich der Aufwand etwas größer: Zum Entschlüsseln benötigt man zum einen die Startdiskette und zum anderen das Startkennwort bzw. das Kennwort des Benutzers, der die Dateien verschlüsselt hat. Auch hier kann sofern vorhanden das Kennwort des Wiederherstellungsagenten verwendet werden.
Elcomsoft gibt drei typische Szenarien an, für die AEFSDR geeignet sein soll:
- Ein Nutzer, der Administratorrechte auf dem System hat, will Dateien dechiffrieren, die sich auf dem Datenträger befinden, von dem das System bootet. Es sind allerdings einige Zertifikate im System beschädigt, so dass die vom Betriebssystem bereitgestellte Entschlüsselung nicht funktioniert.
- Das Betriebssystem lässt sich nicht starten, oder der Nutzer hat keine Administratorrechte.
- Es sollen Dateien von einem Datenträger entschlüsselt werden, der von einem fremden System stammt.
Unterstützende Funktionen
Das Programm lässt sich mit Hilfe eines Assistenten steuern, der Schritt für Schritt hilft, die auf dem System vorhandenen Schlüssel zu lokalisieren. Außerdem spürt er auf Wunsch verschlüsselte Dateien auf und dechiffriert sie bei Bedarf.
Im Expertenmodus hat man zusätzlich die Möglichkeit, den SYSKEY von einem externen Datenträger heranzuziehen oder zum Ermitteln eines nicht bekannten oder vergessenen Benutzerkennworts einen Wörterbuch-Angriff zu starten. Allerdings bringt AEFSDR keine Wörterbücher mit – wer das Programm beim Hersteller auf CD bestellt, kann für einen Aufpreis von 15 Euro eine Bibliothek an Wörterbüchern für verschiedene Sprachen mitbestellen.
Elcomsoft AEFSDR ist mit einer Business License für 199 Euro erhältlich. Die Systemanforderungen: Windows NT/2000/XP/2003/Vista mit Administratorrechten und ein PC mit 600 Kilobyte freiem Festplatten-Speicher.
Fazit
Als zusätzliches Tool im Werkzeugkasten des Admins kann AEFSDR gute Dienste leisten, zum Beispiel wenn ein User sein Anmeldekennwort vergessen hat und auf wichtige Dokumente nicht mehr zugreifen kann. Selbst nach einem versehentlichen Formatieren der Festplatte ist der Zugriff auf die Daten wieder möglich – sofern es gelingt, zumindest die Dokumentdateien sowie die Schlüsseldaten wiederherzustellen. Ohne diese Informationen kann aber auch AEFSDR nicht viel ausrichten.
(ID:2004111)
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/21/b621e63ec98540fad57698ac43776177/0109562653.jpeg "In Windows lassen sich Festplatten nicht nur mit Bordmitteln verschlüsseln, sondern auch mit weiteren Tools, die wir in diesem Artikel vorstellen. (Bild: frei lizenziert)")